A Bajor Adatvédelmi Hatóság (Bayerisches Landesamt für Datenschutzaufsicht, „BayLDA”) nemrég iránymutatást bocsátott ki a zsarolóvírus-támadások megelőzésére irányuló megfelelő biztonsági intézkedésekkel kapcsolatban. Az iránymutatás ITT elérhető.
Tekintettel arra, hogy Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság eddig nem bocsátott ki hasonló iránymutatást, de egy ilyen lista a magyarországi cégek és egyéb szervezetek számára is hasznos lehet, az alábbiakban összefoglaljuk a főbb rendelkezéseit.
1. A cég által használt rendszerek feltérképezése
- El kell készíteni az összes asztali számítógép és laptop, belső és külső szerver, irodai okostelefon, táblagép és egyéb mobileszköz naprakész listáját, ami tartalmazza az operációs rendszer fajtájára és verziójára vonatkozó információkat is.
- El kell készíteni az összes belső és külső üzemeltetett informatikai rendszerrel kapcsolatos teljes és naprakész hálózati tervet, ami tartalmazza az aktív és passzív hálózati komponensekre (pl. kapcsolók, tűzfalak, VPN-berendezések) és a hálózati szegmentációra (ha van ilyen) vonatkozó információkat is.
- A különböző szintű belső hálózati területeket tűzfalakkal kell elválasztani egymástól.
- Az interneten keresztül elérhető szerverek – például a levelezőszerverek, webszerverek vagy VPN végpontok – saját belső hálózati szegmensükben kell elhelyezkedjenek, és tűzfallal kell elválasztani ezeket a belső hálózattól (ún. demilitarizált zóna – DMZ).
- A mobil munkaállomások (pl. laptopok és okostelefonok) titkosított és kriptográfiai hitelesítéssel ellátott kapcsolaton keresztül kapcsolódhatnak az internethez (például titkosított VPN).
- Az internetről letöltött programok nem futtathatóak felhasználói beavatkozás nélkül.
- Nem futtathatóak programok, melyek hitelességét az operációs rendszer nem tudta ellenőrizni.
- Otthoni munkavégzés esetében magáneszközök nem csatlakozhatnak a vállalati hálózathoz.
- A szolgálatban lévő okostelefonokat és táblagépeket mobileszköz-kezelési megoldáson keresztül kell kezelni (Mobile Device Management – MDM).
- A szoftverek telepítése a számítógépre csak adminisztrátori jogosultsággal legyen lehetséges.
- Böngésző bővítmények csak akkor legyenek telepíthetők, ha egy (régebbi) alkalmazás azt feltétlenül szükségessé teszi.
- Az olyan szkripteket, mint a JavaScript vagy a Visual Basic, csak akkor engedje futtatni az operációs rendszer, ha a (régebbi) szoftverek feltétlenül szükségessé teszik.
- A Microsoft Office csomagokat úgy kell beállítani, hogy csak aláírt makrókat futtassanak.
- A programok futtatása csak a megadott könyvtárakból legyen lehetséges (ún. Execution Directory Whitelisting).
- Az e-mail szerveren spam- és vírusszűrőt kell használni.
- A veszélyes fájlmellékleteket tartalmazó e-mailek, például a futtatható fájlok, jelszóval titkosított ZIP-archívumok vagy makrókat tartalmazó Office-dokumentumok a levelezőszerverről egy karanténmappába kell kerüljenek, további elemzésre.
- Az e-mail szervert úgy kell beállítani, hogy a belső feladóktól származó, de a vállalaton kívülről kézbesítendő e-maileket blokkolja (ún. anti-spoofing – arra az esetre, ha mikor egy külső személy úgy változtatja meg az üzenet tartalmát, hogy a rendszer azt egy hálózaton belüli címről érkezőnek gondolja).
- A rendszergazdák két felhasználói fiókkal kell rendelkezzenek: eggyel a tisztán adminisztrátori feladatok, eggyel pedig az egyéb tevékenységek (például e-mailek olvasása vagy internetezés) ellátására.
- Minden számítógépen és/vagy szerveren a helyi adminisztrátor- és/vagy gyökérmappához különböző és erős jelszót (legalább 16 karakter) kell használni.
2. Frissítések kezelése
- Minden asztali számítógépet és laptopot úgy kell konfigurálni, hogy az operációs rendszer szoftverfrissítései automatikusan telepítésre kerüljenek.
- Ha az operációs rendszer szoftverfrissítése külön szoftverelosztón (például WSUS) keresztül történik, úgy kell konfigurálni, hogy az operációs rendszer gyártójától származó biztonsági frissítéseket automatikusan betöltse, és azonnal elérhetővé tegye az összes asztali számítógép és laptop számára.
- Csak olyan operációs rendszerek legyenek használatban, melyekhez a gyártó biztonsági frissítéseket biztosít.
- Naprakész listát kell vezetni az összes asztali számítógépen és laptopon telepített alkalmazásszoftverről és állapotukról.
- Az asztali számítógépeken és laptopokon az összes alkalmazásszoftvert úgy kell beállítani, hogy a szoftverfrissítések (legalább a biztonsági frissítések) lehetőség szerint automatikusan települjenek.
- Ha az alkalmazásszoftverek nem frissíthetőek automatikusan, akkor gondoskodni kell arról, hogy legalább havonta egyszer frissítésre kerüljenek a legújabb verzióra.
- Csak olyan szerver operációs rendszereket lehet használni, amelyekhez a gyártó még mindig biztosít biztonsági frissítéseket.
- Minden szerver esetében ellenőrizni kell, mennyire konfigurálhatóak úgy, hogy a biztonsági frissítések automatikusan telepítve legyenek.
- Minden olyan szerver esetében, amelynél a biztonsági frissítések automatikus telepítése nem lehetséges az esetlegesen instabil szerverállapotok miatt, a biztonsági frissítéseket tesztelés után, késedelem nélkül, manuálisan telepíteni kell. A kritikus biztonsági réseket néhány napon belül el kell hárítani, hacsak a szervezet nem hoz egyenértékű más védelmi intézkedéseket.
- Az összes hálózati komponens, különösen a tűzfalak és a VPN-berendezések biztonsági frissítései azonnal és kiemelt prioritással telepítésre kerülnek.
- Naprakész és teljes dokumentáció rendelkezésre áll arról, hogy mely asztali számítógépek, laptopok, szerverek, hálózati komponensek stb. frissítése történik meg automatikusan vagy manuálisan. A nem automatikus frissítések esetében az adott informatikai rendszereket és azok szoftververzióit rögzíteni kell.
- Az irodai okostelefonok és laptopok biztonsági frissítéseit azonnal elérhetővé kell tenni a mobileszköz-kezelő rendszeren keresztül. Tilos olyan mobileszközöket használni, amelyekhez (már) nem állnak rendelkezésre biztonsági frissítések.
3. Biztonsági mentések
- Biztonsági mentések végrehajtása a 3-2-1 szabály szerint: 3 adattároló (beleértve az eredetit is), 2 különböző biztonsági adathordozó (akár offline, például szalagos mentés), és 1 külső helyszín; vagy a zsarolóprogram-támadások szempontjából hasonlóan hatékony mentési mechanizmusok.
- Legalább egy biztonsági mentési rendszer nem lehet titkosítható közvetlenül rosszindulatú kóddal.
- Dokumentált szabályozást kell bevezetni arra vonatkozóan, hogy a szerverek/asztali számítógépek/laptopok adatai melyik biztonsági mentési koncepcióba tartoznak.
- Szimulációt kell végezni annak vizsgálatára, hogy hogyan lehet újraindítani a teljes informatikai rendszert abban az esetben, ha teljes titkosítás miatt az összes belső és külső szerver nem működne tovább.
- Rendszeresen ellenőrizni kell, hogy legalább naponta egy biztonsági mentés készüljön.
- Rendszeres teszteket kell lefolytatni annak biztosítására, hogy a mentési folyamat minden releváns adatot tartalmazzon, és a helyreállítás működjön.
4. Az adatforgalom ellenőrzése
- A belső hálózatból az Internetre való központi átmenetet tűzfal kell védje.
- A tűzfal mellett/részeként a http-forgalmat egy webproxyn keresztül kell átirányítani. Az egyéb protokollok Internetre irányuló hálózati forgalmát a központi tűzfalnak alapesetben blokkolnia kell, és csak egyedi esetekben, dokumentált módon engedheti át.
- A webproxy komponensnek a rosszindulatú kódok küldésére szolgáló (többnyire feltört) szerverként használt, ismert és naponta frissített végpontok tekintetében (ún. Indicator of Compromise, IoC) szűrnie és blokkolnia, valamint naplóznia kell az ilyen eseményeket.
- Az internetre irányuló naplózott adatforgalmat a küldő IP-címek és az adatmennyiségek alapján akár 90 napig is meg kell őrizni azzal a céllal, hogy egy incidenst követően kiértékeljék az esetleges szabálytalanságokat. Ezeket a naplókat a visszaélések megelőzése és az adatvédelmi jogszabályoknak megfelelő rendeltetésszerű használat biztosítása érdekében titkosítani kell.
5. Tudatosság
- Az alkalmazottak rendszeres képzést kell kapjanak az aktuális és gyakori kibertámadásokról (legalább évente egyszer).
- Az új alkalmazottak oktatást kell kapjanak az IT-elemek megfelelő kezeléséről és a social engineering támadások esetén tanúsítandó magatartásról.
- Az informatikai kockázatokat tudatosítani kell az új alkalmazottak körében, mielőtt elkezdenék az adatkezelést.
- A munkavállalók tudatosságának növelése érdekében be kell mutatni a social engineering támadások folyamatát (pl. a telefonszámok manipulálásának lehetősége).
- A személyzetet tájékoztatni kell a bejelentési csatornákról (pl. adatvédelmi tisztviselő) és a felelősségi körökről.